Поделиться через


Стандарт Baseline Informatiebeveiliging Rijksdienst (BIR 2012)

Общие сведения о BIR 2012

Организации, работающие в государственном секторе Нидерландов, должны продемонстрировать соответствие стандарту Baseline Informatiebeveiliging Rijksdienst (BIR 2012). BIR 2012 предоставляет стандартную структуру на основе ISO 27001 и ISO 27002. Для организаций, использующих Microsoft Azure или Office 365, корпорация Майкрософт управляет частью элементов управления BIR 2012 для этих облачных служб в соответствии с моделью общей ответственности в облачных вычислениях. Поэтому организации, которым необходимо соблюдать bir 2012, обязаны определить, соответствуют ли базовые службы Майкрософт, которые они используют, требованиям BIR 2012.

В отчете о применении BIR приведены инструкции о том, где стандарты BIR выполняются с помощью существующих сертификатов ISO 27001, присвоенных облачных службам (Майкрософт). При наличии дополнительных элементов управления BIR, на которые не распространяется ISO 27001, ссылаются на другие независимые аттестации, документацию по аудиту или договорные заявления.

Майкрософт и BIR 2012

Хотя корпорация Майкрософт не распространяется на соответствие требованиям BIR 2012, клиенты из государственного сектора, желающие использовать облачные службы, могут использовать существующие сертификаты Майкрософт для определения соответствия требованиям этого стандарта. Службы Azure и Office 365 подвергаются различным периодическим независимым сертификациям, некоторые из которых тесно связаны с BIR 2012.

Скачать руководство пользователя по базовому применению BIR-2012 в Azure и Office 365 для Microsoft Cloud

Затрагиваемые облачные платформы и службы Майкрософт

  • Azure
  • Intune
  • Office 365

Office 365 и BIR 2012

Office 365 среды

Microsoft Office 365 — это рассчитанная на множество клиентов гипермасштабируемая облачная платформа с интегрированным интерфейсом приложений и служб, доступная клиентам в нескольких регионах по всему миру. Большинство служб Office 365 позволяют клиентам указывать регион, в котором находятся их данные клиентов. Корпорация Майкрософт может реплицировать данные клиентов в другие регионы в той же географической области (например, в США) для обеспечения устойчивости данных, но корпорация Майкрософт не будет реплицировать данные клиентов за пределами выбранной географической области.

В этом разделе рассматриваются следующие Office 365 среды:

  • Клиентское программное обеспечение (клиент). Коммерческое клиентское программное обеспечение, работающее на устройствах пользователей.
  • Office 365 (коммерческая). Глобальная общедоступная коммерческая облачная служба Office 365.
  • Облако сообщества Office 365 для государственных организаций (GCC). Облачная служба Office 365 GCC доступна для государственных организаций США федерального уровня, уровня штатов, местного и племенного уровня, а также для подрядчиков, хранящих или обрабатывающих данные от имени правительства США.
  • Облако сообщества Office 365 для государственных организаций — высокий уровень (GCC High). Облачная служба Office 365 GCC High разработана в соответствии с элементами управления четвертого уровня, предусмотренными руководством по требованиям к безопасности Министерства обороны (DoD), и поддерживает строго регулируемую информацию федерального значения и данные, относящиеся к обороне. Эта среда используется федеральными учреждениями, предприятиями военно-промышленного комплекса и подрядчиками государственных организаций.
  • Office 365 DoD (DoD). Облачная служба Office 365 DoD разработана в соответствии с элементами управления пятого уровня, предусмотренными руководством по требованиям к безопасности Министерства обороны (DoD), и поддерживает строгие нормы относительно информации федерального значения и данных, относящихся к обороне. Эта среда используется исключительно Министерством обороны США.

Используйте этот раздел для выполнения своих обязательств по обеспечению соответствия требованиям в регулируемых отраслях и на глобальных рынках. Чтобы узнать, какие службы доступны в тех или иных регионах, см. статьи Информация о доступности в международном масштабе и Где хранятся ваши данные как клиента Microsoft 365. Дополнительные сведения об облачной среде Office 365 для государственных организаций см. в статье Облако Office 365 для государственных организаций.

Ваша организация несет полную ответственность за обеспечение соответствия всем применимым законам и нормативным актам. Информация, представленная в этом разделе, не является юридической консультацией, поэтому по любым вопросам, относящимся к соблюдению нормативных требований в вашей организации, следует обращаться к юридическим консультантам.

Применимость Office 365 и затрагиваемые службы

Чтобы определить применимость изменений к вашим службам и подписке Office 365, воспользуйтесь следующей таблицей.

Применимость Затрагиваемые службы
Коммерческий сектор Azure Information Protection, Bookings, Exchange Online Protection, Exchange Online, Kaizala, Microsoft Analytics, Microsoft Booking, Microsoft Graph, Microsoft Teams, Microsoft To-Do для Интернета, MyAnalytics, Office 365 Cloud App Security, группы Office 365, Office Delve, OneDrive для бизнеса, Планировщик, Power Apps, Power Automate, Power BI для Office 365, PowerApps, SharePoint Online, Skype для бизнеса, StaffHub, Stream, Sway, Viva Engage

Аудит, отчеты и сертификаты

Корпорация Майкрософт привлекла независимую аудиторскую компанию для анализа степени охвата текущими сертификатами и аттестатами Azure и Office 365 (например, ISO/IEC 27001 и SOC 2 типа 2) той части BIR 2012, за которую отвечает корпорация Майкрософт. В итоговом отчете содержится сопоставление существующих сертификатов и аттестатов со средствами контроля, перечисленными в стандарте BIR 2012. Клиенты могут использовать отчет в качестве средства для принятия Azure в соответствии с требованиями BIR 2012. В отчете четко показано, какие средства контроля BIR 2012 охватываются корпорацией Майкрософт, а какие средства контроля должны быть реализованы клиентами. Отчет "Microsoft Cloud: охват базовых показателей BIR 2012 в Azure и Office 365" можно скачать в разделе Отчеты аудита Service Trust Portal — отчеты оценки GRC.

Вопросы и ответы

Имеет ли корпорация Майкрософт сертификат BIR 2012?

Ответственность за соблюдение стандарта BIR ложится на государственный сектор. Для этого организации требуется внедрить систему управления безопасностью информации и устранять риски с помощью соответствующих технических и организационных мер. Для корпорации Майкрософт в роли поставщика облачных служб соблюдение стандарта BIR не является целью и технически необоснованно. Если клиент внедряет или использует облачные службы (Майкрософт), эти службы могут включаться в оценку соответствия BIR. Однако организация должна добавить собственные (дополнительные) средства контроля, параметры и процессы, включаемые в общую оценку соответствия BIR. Цель отчета — продемонстрировать, что государственное учреждение может использовать облачные службы (Майкрософт) с соблюдением требований стандарта BIR 2012.

Соответствует ли клиент, использующий облачные службы (Майкрософт), требованиям BIR 2012?

Демонстрация соответствия стандарту BIR входит в обязанности клиента. Клиенты, использующие поставщика облачных служб, обычно требуют гарантий от поставщика и добавляют свои собственные (дополнительные) технологии и организационные решения, выбор и процессы. Эти усилия отражаются в общей оценке клиентом своего соответствия стандарту BIR, которая может быть отправлена на проверку или сертификацию стороннему аудитору. В отчете о применении BIR представлены сведения о том, какие средства контроля BIR относятся к облачным службам (Майкрософт). Но в нем не рассматривается комплексное соответствие требованиям.

В отчете не отображается 100 % охвата. Является ли соответствие BIR 2012 нецелесообразно?

Облачные службы (Майкрософт) предоставляют множество средств контроля, помогающих организациям в Нидерландах соблюдать требования BIR. Однако организации должны дополнить эти гарантии поставщика собственными решениями реализации, дополнительными технологическими средствами контроля и административными процессами. В отчете уже отображается уровень непосредственного применения более 91 % для полного списка соответствующих средств контроля. Для остальных средств контроля корпорация Майкрософт предоставляет в отчете рекомендации о способе демонстрации их соответствия требованиям.

Отчет о применении BIR является юридически обязывающим документом?

Нет. Это вспомогательное средство для внутреннего процесса клиента по обеспечению соответствия стандарту BIR, помогающее создать уверенность в осуществимости соответствия стандарту BIR. Отчет является описательным и включает юридическое заявление об отказе от ответственности.

Можно ли делиться этим отчетом?

Этот отчет предоставляется клиентам в рамках соглашения о неразглашении при условии его применения только для клиентских сведений и с запретом копирования или раскрытия посредством других каналов, кроме платформы Майкрософт Service Trust. Клиенты могут предоставлять общий доступ к отчету внутреннему или внешнему аудитору в рамках соответствующих процессов обеспечения соответствия требованиям или гарантий.

Ресурсы